Защити созданное

Другие наши ресурсы

  • free.drweb.kz — бесплатные утилиты, плагины, информеры
  • av-desk.com — интернет-сервис для поставщиков услуг Dr.Web AV-Desk
  • curenet.drweb.kz — сетевая лечащая утилита Dr.Web CureNet!
Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поиск
Поиск

Поиск

Поддержка
Круглосуточная поддержка | Правила обращения

Напишите

Запрос через форму

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -
Создать новый запрос Частые вопросы

Позвоните

Глобальная поддержка:
+7 (495) 789-45-86

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

KZ

RU CN DE EN ES FR IT JP KZ UZ PL BY
Закрыть
Сервисы
Сканеры
Dr.Web vxCube
Демо
Экспертиза ВКИ
Вирусная библиотека
База знаний

Технологии

Термины

Обучение и просвещение

Мифы

Новости

BackDoor.Maxplus.3807

Добавлен в вирусную базу Dr.Web: 2012-03-04

Описание добавлено:

Техническая информация

Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001] 'LibraryPath' = 'mswsock.dll'
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003] 'LibraryPath' = 'mswsock.dll'
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000009] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000010] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000011] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000006] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000007] 'PackedCatalogItem' = ''
  • [<HKLM>\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000008] 'PackedCatalogItem' = ''
Создает следующие сервисы:
  • [<HKLM>\SYSTEM\ControlSet001\Services\.mrxsmb] 'ImagePath' = '\?'
Вредоносные функции:
Внедряет код в
следующие системные процессы:
  • <SYSTEM32>\winlogon.exe
  • %WINDIR%\Explorer.EXE
Изменения в файловой системе:
Создает следующие файлы:
  • %WINDIR%\$NtUninstallKB27979$\4121336045\@
  • %WINDIR%\$NtUninstallKB27979$\4121336045\cfg.ini
  • %WINDIR%\$NtUninstallKB27979$\4121336045\Desktop.ini
  • %WINDIR%\$NtUninstallKB27979$\4121336045\L\alehhooo
Самоудаляется.
Сетевая активность:
Подключается к:
  • '79.##7.33.187':34354
  • '19#.#6.19.189':34354
  • '72.##9.236.242':34354
  • '95.##5.171.42':34354
  • '24.#0.4.46':34354
  • '17#.#48.134.76':34354
  • '17#.#78.253.90':34354
  • '71.##.186.19':34354
  • '69.##2.174.162':34354
  • '18#.#3.190.47':34354
  • '75.##8.118.255':34354
  • '69.##7.59.70':34354
  • '17#.#13.79.7':34354
  • '75.##5.8.141':34354
  • '93.#4.94.67':34354
  • '94.##9.83.252':34354
  • '92.##.219.227':34354
  • '75.##8.254.236':34354
  • '89.##7.165.120':34354
  • '98.##4.89.192':34354
  • '18#.#4.61.243':34354
  • '17#.#6.34.176':34354
  • '74.#06.87.9':34354
  • '80.##.175.181':34354
  • '88.##.11.204':34354
  • '18#.#57.195.199':34354
  • '19#.#9.10.213':34354
  • '17#.#51.175.85':34354
  • '92.##.213.34':34354
  • '69.##.34.223':34354
  • '10#.#4.38.167':34354
  • '75.##6.223.192':34354
  • '21#.#71.94.211':34354
  • '67.#1.162.8':34354
  • '72.##1.134.4':34354
  • '68.##8.231.44':34354
  • '18#.#37.108.36':34354
  • '70.##2.39.90':34354
  • '93.##8.46.145':34354
  • '71.##4.104.235':34354
  • '75.##9.62.49':34354
  • '71.##4.75.104':34354
  • '79.##3.205.186':34354
  • '24.##3.197.44':34354
  • '46.##0.64.108':34354
  • '83.##5.126.205':34354
  • '24.##2.249.35':34354
  • '41.##.128.226':34354
  • '78.#.118.30':34354
  • '50.##.173.244':34354
  • '89.##3.227.211':34354
  • '24.#.103.121':34354
  • '75.##2.2.173':34354
  • '68.#0.35.7':34354
  • '46.##1.41.246':34354
  • '68.##5.49.143':34354
  • '98.##0.89.12':34354
  • '70.##3.202.112':34354
  • '18#.#7.49.164':34354
  • '24.##8.72.218':34354
  • '10#.#99.232.238':34354
  • '89.##4.139.169':34354
  • '65.##4.101.147':34354
  • '20#.6.51.19':34354
  • '19#.#03.81.97':34354
  • '10#.#5.98.218':34354
  • '88.##3.71.118':34354
  • '98.##8.165.114':34354
  • '18#.#31.111.226':34354
  • '67.##.165.226':34354
  • '77.##7.181.175':34354
  • '17#.#0.36.238':34354
  • '68.##.96.116':34354
  • '18#.#3.10.237':34354
  • '10#.#07.230.62':34354
  • '17#.#19.99.29':34354
  • '69.##7.213.136':34354
  • '2.###.186.142':34354
  • '93.##.162.25':34354
  • '31.##1.212.200':34354
  • '69.##2.11.113':34354
  • '71.##.13.193':34354
  • '91.##7.166.119':34354
  • '76.##.82.166':34354
  • '18#.#7.0.195':34354
  • '70.##.127.52':34354
  • '17#.#5.250.95':34354
  • '24.##.215.119':34354
  • '77.#2.41.74':34354
  • '69.##.108.62':34354
  • '96.#5.97.68':34354
  • '75.##7.236.227':34354
  • '50.##9.147.216':34354
  • '13#.#29.185.186':34354
  • '90.##9.19.118':34354
  • '96.#0.95.92':34354
  • '24.##.219.83':34354
  • '19#.#4.63.15':34354
  • '89.##5.96.24':34354
  • '20#.#2.187.104':34354
  • '67.##2.144.110':34354
  • '76.##5.43.175':34354
  • '18#.#4.241.171':34354
  • '20#.#72.36.135':34354
  • '24.#.68.190':34354
  • '18#.#4.165.171':34354
  • '68.##4.194.134':34354
  • '19#.#05.113.5':34354
  • '99.##4.221.253':34354
  • '67.##5.108.96':34354
  • '95.##9.48.101':34354
  • '72.##7.14.196':34354
  • '68.##6.93.150':34354
  • '71.##.110.99':34354
  • '24.##5.28.170':34354
  • '24.#9.111.1':34354
  • '17#.#3.111.61':34354
  • '18#.#4.58.32':34354
  • '98.##.84.145':34354
  • '17#.#70.152.161':34354
  • '17#.#0.208.251':34354
  • '94.##.76.210':34354
  • '83.##4.59.138':34354
  • '77.#3.12.60':34354
  • '98.##2.149.228':34354
  • '18#.#8.116.71':34354
  • '17#.#22.142.135':34354
  • '72.##6.134.118':34354
  • '65.##.126.195':34354
  • '68.##.170.242':34354
  • '71.##.221.192':34354
  • '69.##6.148.18':34354
  • '99.##4.242.60':34354
  • '18#.#0.152.205':34354
  • '68.##4.187.222':34354
  • '98.##9.150.139':34354
  • '24.##.143.41':34354
  • '95.##7.109.209':34354
  • '19#.#2.94.232':34354
  • '2.##.68.82':34354
  • '20#.#4.47.104':34354
  • '93.##.197.239':34354
  • '76.##7.120.223':34354
  • '19#.#46.217.204':34354
  • '89.##.52.137':34354
  • '17#.#0.9.218':34354
  • '19#.#0.117.220':34354
  • '68.##.156.92':34354
  • '89.##3.99.243':34354
  • '14#.#16.227.239':34354
  • '76.#10.35.8':34354
  • '24.#9.16.10':34354
  • '85.##.141.247':34354
  • '17#.#67.157.213':34354
  • '66.##1.179.147':34354
  • '21#.#29.195.28':34354
  • '75.##9.158.161':34354
  • '17#.#50.222.81':34354
  • '17#.#09.184.239':34354
  • '20#.#48.234.181':34354
  • '68.##.76.213':34354
  • '17#.#32.169.109':34354
  • '98.##4.93.20':34354
  • '50.##8.145.22':34354
  • '68.##8.196.188':34354
  • '95.##.139.144':34354
  • '41.##8.85.111':34354
  • '98.##0.245.94':34354
  • '93.#5.33.70':34354
  • '17#.#67.180.206':34354
  • '67.##.146.97':34354
  • 'pr####.fling.com':80
  • '17#.#2.190.142':80
  • '78.##1.213.71':34354
  • '20#.#64.183.50':34354
  • '46.##4.99.141':34354
  • '71.##.224.154':34354
  • '69.##7.139.201':34354
  • '89.##.64.164':34354
  • '75.##3.93.75':34354
  • '78.##7.81.64':34354
  • '91.##0.180.52':34354
  • '50.##.169.125':34354
  • '85.##.18.224':34354
  • '17#.#4.182.176':34354
  • '71.##9.117.142':34354
  • '68.#6.40.24':34354
  • '24.##8.225.214':34354
  • '18#.#7.1.236':34354
  • '18#.#91.149.32':34354
  • '75.##3.152.33':34354
  • '2.###.222.208':34354
  • '75.##1.217.103':34354
  • '20#.#4.130.27':34354
  • '50.##3.206.91':34354
  • '20#.#26.230.240':34354
  • '18#.#12.146.36':34354
  • '80.##6.210.124':34354
  • '76.##5.55.176':34354
  • '72.#00.6.95':34354
  • '98.##0.8.161':34354
  • '95.##5.147.191':34354
  • '88.##.41.112':34354
  • '58.##.213.44':34354
  • '69.##2.76.55':34354
  • '67.##1.103.93':34354
  • '18#.90.9.72':34354
  • '17#.#17.191.27':34354
  • '10#.#91.205.111':34354
  • '95.##.28.135':34354
  • '98.##9.240.43':34354
  • '2.##7.78.62':34354
  • '78.#2.50.26':34354
  • '69.##9.140.58':34354
  • '11#.#94.239.145':34354
  • '80.##8.161.220':34354
  • '75.##.192.137':34354
  • '24.##.169.187':34354
  • '24.##.60.171':34354
  • '75.##0.157.225':34354
  • '17#.#34.237.206':34354
  • '10#.#5.24.251':34354
  • '17#.#08.42.27':34354
  • '66.##.20.113':34354
  • '67.##7.236.187':34354
  • '78.##0.216.184':34354
  • '24.##4.60.24':34354
  • '98.#5.226.7':34354
  • '79.##3.239.219':34354
  • '98.##7.225.230':34354
  • '70.##6.47.187':34354
  • '87.##.62.121':34354
  • '78.##.165.141':34354
  • '17#.#9.108.28':34354
  • '79.##4.216.161':34354
  • '19#.#5.202.106':34354
  • '18#.#85.61.230':34354
  • '17#.#0.240.203':34354
  • '91.##7.60.22':34354
  • '94.#6.168.8':34354
  • '17#.#68.49.239':34354
  • '21#.#75.117.93':34354
  • '67.#1.65.16':34354
  • '68.#.123.77':34354
  • '18#.#5.24.225':34354
  • '17#.#0.102.117':34354
  • '17#.#49.150.161':34354
  • '67.##.115.69':34354
  • '20#.#54.2.82':34354
  • '24.##.238.87':34354
  • '68.##0.58.176':34354
  • '62.##5.12.171':34354
  • '77.#9.29.56':34354
  • '67.##6.109.0':34354
  • '98.##6.181.133':34354
  • '68.#2.247.7':34354
  • '70.##1.199.68':34354
  • '69.##0.100.202':34354
TCP:
Запросы HTTP GET:
  • 17#.#2.190.142/stat2.php?w=#############################################
  • 17#.#2.190.142/stat2.php?w=############################################
  • pr####.fling.com/geo/txt/city.php
UDP:
  • DNS ASK z#���
  • DNS ASK z#L�>�
  • DNS ASK z#v��7
  • DNS ASK z#Ҁ_
  • DNS ASK z#� ��
  • DNS ASK z# 4�v
  • DNS ASK z#Cq
  • DNS ASK z#�H��
  • DNS ASK z#o��
  • DNS ASK z#��Ed
  • DNS ASK pr####.fling.com
  • DNS ASK z#�t�
  • DNS ASK z#�m
  • DNS ASK z#��SV
  • '8.#.8.8':1035

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

Скачать Dr.Web с Apple Store

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Демо бесплатно

 

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке

Скачать с сайта
Скачать с Google Play